El tema de moda en tecnologías de la información es “La nube” (Cloud Computing). Este término quizás desde su concepción no nos ayuda mucho, ya que, ¿quién no recuerda un diagrama de Visio, o un dibujo en papel, o cualquier esquematización de una red con una nube? ¿Qué significa? Algo desconocido, el resto de la red que se conecta a nosotros, lo que no podemos ver, algo fuera de control.

¡Qué complejo es ahora pensar que la nube es lo que vendrá a solucionar muchos problemas, y pensar que será algo que “no podemos ver”! Para colmo de males, la nube es el lugar donde residirá, se transportará o se procesará un activo vital para cualquier empresa: su información.

Finalmente, la seguridad involucra confianza, y ésta será parcial o totalmente gestionada por un tercero. La tensión es grande, puesto que ya no se tiene la información en el “sitio seguro” y no hay un control de la empresa sobre la seguridad que está alrededor de la información. Es más, ya no hay la certeza de que mi información sea “mi información”. Y ni hablar de temas de cumplimiento como PCI o ISO-27000.

Estos tres párrafos son la visión que se tiene desde un punto de vista pesimista, ya que si bien hay todavía asuntos por analizar sobre la mesa, el cómputo en la nube viene a apoyar la administración y los recursos informáticos que se tienen, o al menos, se tenían, a la vez de impactar positivamente en el aprovechamiento de los mismos.

Debido al concepto de compartir recursos entre entidades, la nube ofrece un claro beneficio inicial: optimización de recursos. Esto implica aprovechar el presupuesto en donde se requiera. Para una empresa minorista quizás los recursos sean críticos para su infraestructura de bases de datos y aplicaciones de inventarios, mientras que una tienda online deba distribuir su presupuesto en bases de datos y más servidores con acceso público, además de enlaces de comunicación.

El modelo necesariamente irá alineado a la misión de la empresa, por lo que la definición del tipo de nube deberá ir de la mano con lo que ésta necesite. Por ende, la nube ofrece claros beneficios. Conceptos como software, infraestructura, seguridad o plataforma como servicios (*aaS) hoy por hoy son parte integral de una arquitectura orientada a servicios, no involucrando, o al menos no pretendiendo involucrar, compras directas.

Me gustaría en este punto hacer una analogía con el famoso decreto de austeridad que surgió en 2007. El objetivo del decreto era instar a las dependencias de gobierno a requerir servicios en vez de productos, a menos que la dependencia necesitara adquirir formalmente la tecnología, previa justificación. El objetivo “tras bambalinas” era claro: una dependencia no necesita adquirir recursos informáticos; una dependencia necesita servicios informáticos que la apoyen a procesar su información o a salvaguardar ésta, optimizando el presupuesto.

La nube va en la misma línea que el decreto de austeridad, sólo que en las empresas es como una necesidad, una moda o un cumplimiento de estándares lo que guía al mercado. El concepto de orientar a servicios es similar.

La transición no es sencilla, puesto que la nube viene a resolver unos problemas, pero crea otros. No es mi intención consolidar todos los elementos de servicios en la nube, puesto que para ello se requeriría todo un libro, sino sólo aquellos relevantes a seguridad. Sin embargo, desde el concepto de la nube, no podemos obviar a una u otra tecnología (recordemos, es un servicio).

De acuerdo con computerweekly.com, uno de los principales problemas proviene no de las tecnologías propias en la nube, sino de la política alrededor. Esto, en pocas palabras, significa problemas legales y contractuales. Hoy, las comunicaciones existentes hacen que un poco de nuestra información quizás esté pasando por Singapur sin nosotros saberlo (“bondades” de la conectividad). Posiblemente, ante problemas legales, no sabremos qué legislación nos aplique (¿dónde reside nuestra información?), o en qué punto la responsabilidad es del proveedor de la nube o del cliente final.

Ante estas disyuntivas, siempre se sugiere un marco de referencia claro en alcances y prestación de servicios. Elementos como un contrato con un SoW (Statement of Work) que contenga alcances claramente definidos y limitaciones que el proveedor de la nube deba cumplir, ayudarán a identificar ambigüedades legales. Los niveles de servicio que se pacten también serán claves en la prestación del servicio, indicando las expectativas del cliente y forzando al proveedor de servicios en la nube a considerar todos los elementos necesarios para cumplir dichas expectativas. Más aún, los propios niveles de servicios identificarán las áreas críticas que el proveedor necesitará cumplir.

En todo momento, la información es y será siempre propiedad del usuario final. Es importante tener en mente esto; a la fecha, no se conoce a un operador de seguridad que sea responsable de la información y que la vuelva su posesión. Es el resguardo de dicha información y los controles alrededor de ella de lo que el proveedor de servicios se hará responsable.

Desde el punto de vista técnico, la principal amenaza proviene del mismo desconocimiento que la nube proporciona y el no tener control sobre lo que hay dentro. No es sorpresa que los hackers ataquen hoy a los proveedores de servicios; ahora en un solo ataque exitoso pueden obtener información de múltiples empresas.

De acuerdo con la Cloud Security Alliance (CSA), se han reportado ataques exitosos con programas maliciosos, como el famoso botnet Zeus (programa malicioso enfocado a robar información bancaria), provenientes desde proveedores de servicios en la nube en Estados Unidos. La sorpresa mayor es que este botnet tiene a México como uno de los principales países infectados.

Otro de los grandes retos en la nube es la circulación de información de diferentes datos para diferentes clientes. Esto involucra no mezclar la información del cliente A con la información del cliente B, así como cuidar que un problema con el cliente A no repercuta en los demás.

No es mi intención dar con el “santo grial” de la solución de la seguridad que deba estar en la nube, puesto que esto no existe. Cada compañía puede subirse a la nube, y exigir los niveles de servicio esperados para contar con la seguridad y nivel de confianza adecuados. Hay cuatro recomendaciones que cualquier empresa debe seguir para identificar la viabilidad de considerar servicios con seguridad en la nube:

  • Debe existir una definición clara y precisa de lo que el cliente espera en la nube. No puede dejarse sin dimensionamiento, pues esto acarreará problemas de indefinición que pueden más tarde redundar en huecos de seguridad graves.
  • La seguridad en la nube no es por comodidad, sino por necesidad. El proveedor en la nube deberá demostrar los controles de seguridad que tienen implementados, así como su experiencia en el uso de los mismos.
  • Debe exigirse al proveedor de la nube una segregación eficiente entre sus diferentes clientes. Para ello existen soluciones de controles de acceso, identidades y monitoreo constantes, las cuales están preparadas para lidiar con ambientes complejos y obtener el nivel de granularidad para el control y trazabilidad de las actividades y flujos de información por empresa.
  • Evaluar el riesgo. No todos los servicios deben estar en la nube, por lo que es tarea de la empresa identificar el nivel del riesgo contra la aceptación del mismo. Las propias regulaciones o estándares incluso permiten identificar, o muchas veces limitar, el tipo de arquitectura que es necesaria para la organización.

Hoy existen comunidades dedicadas a la seguridad en la nube. Cloud Security Alliance es un buen ejemplo de ello y es la muestra de cómo los proveedores de servicios no toman el tema a la ligera. La industria sabe que la seguridad es necesaria. Compañías como Dell, Oracle, RSA, Google o ISACA están inmersas en esta organización.

Hoy, los servicios dirigidos a  usuarios finales (portales, banca, consultas personales de información, etc.) demandan cada vez más y más recursos, más servicios para más información, así como nueva información para más servicios, generándose una espiral continua. Lo único que está sucediendo en el mundo entero es un auténtico boom de servicios que las empresas buscan brindar.

La nube no es la única solución: es sólo una solución más que pretende ayudar a la empresa a hacer más eficiente su infraestructura tecnológica y los servicios que se provean a través de ésta. Serán sólo el proveedor del servicio y el cliente quienes definan la arquitectura que más le convenga en términos de infraestructura, plataforma, software y seguridad. Y entonces la nube será la herramienta que la empresa busca, no un dolor de cabeza o una serie de mitos más.

[email protected]

.